一、前言
自删除技术属于比较‘黑客’一点的内容了,它一般的用途是当我们的程序在目标电脑上执行完了任务后,再将自己删除掉,不留下痕迹。
从这里我们也就能看出来,它一般用于病毒、木马之内的程序,在你的电脑上搜索一些数据,然后通过网络上传到了主机后,再自信删除,销毁一切痕迹。
但自删除并不是一个容易的事情,比如你在windows系统上是无法删除一个正在运行的程序的,所以处于运行状态的程序自然也就无法删除自身了。
目前一个比较好的解决方法就是利用批处理文件,也就是window系统的脚本文件。
使用它的原因是它有一个显著的优点:即使自身在运行的情况下也可以删除自己
运行逻辑大致如下:
二、实现代码
#include<fstream>
#include<string>
#include<Windows.h>
#include<shlwapi.h>
#pragma comment(lib,"Shlwapi.lib")
using namespace std;
int main() {
char buf[0xFF];
HMODULE hMod=GetModuleHandleA(NULL); //获取本exe文件模块句柄
GetModuleFileNameA(hMod,buf,0xFF); //根据句柄获得文件路径
PathStripPathA(buf); //去除路径得到文件名
fstream f;
f.open("selfDel.bat",ios::out); //创建批处理文件
string data = string(":startExe\r\nif not exist ") + buf + " goto done\r\ndel /f /q " + buf + "\r\ngoto startExe\r\n:done\r\ndel /f /q %0";
f.write(data.data(), data.size()); // 写入批处理命令
f.close();
ShellExecuteA(NULL, "open", "selfDel.bat", NULL, NULL, SW_HIDE);//执行批处理文件
}
三、部分代码解释
PathStripPathA该函数在头文件shlwapi.h中,并需要对应的静态库,其作用就是将传入的路径截取只剩下文件名称
批处理写入文件大致如下,其中practice.exe为我的应用程序名:
上面脚本的大致逻辑就是:
- 如果应用程序不存在,则跳到
done处,删除自身。 - 如果应用程序存在,则进行删除,
/f与/q代表强制安静删除。 - 然后跳回第一步,这是为了避免此时程序还未退出导致删除失败的情况,直到保证应用程序已经不存在了,才退出循环。
